Security Rollen – Op een dag weet je het, je wordt DevSecOpsRiskDataTestAnalyst!

Golfbewegingen in IT

Een paar jaar geleden ontstonden er “ineens” allerlei datarollen. Als ik goed zoek heb ik denk nog ergens een document waar wel 14 verschillende datarollen in beschreven werden. Datzelfde gebeurde met security rollen, alle kleuren van de regenboog ontstonden, van defensive, offensive, engineers, (pen)testers, zelf het management kreeg een kleur, of bleven eigenlijk kleurloos (wit) 😊.

In de datawereld lijkt het (in ieder geval voor mij, op afstand) weer iets overzichtelijker te worden al moet je wel je Phd hebben behaald om die wereld in te komen lijkt het.

Golfbeweging in Cybersecurity rollen?

Hoe zit het dan in de Securitywereld, gaan we nog meer kleuren verzinnen of brengt de Agile en DevOps wereld weer wat overzicht in de diversiteit in Cybersecurity. Even een zijstap, diversiteit is zeker een thema, tijdens DEF CON zijn er parties voor van alles en nog wat, vega, lhtbi, gothic, hollanders en zelfs voor mensen die het fijn vinden om in dierenpakken rond te lopen, maar dat geheel ter zijde.

Terug naar het thema, gaan we nog meer security rollen krijgen of gaat de golfbeweging hier (ook) weer de andere kant op en komen security rollen weer samen.

Tooling

Als ik naar de leveranciers en hun Unique Selling Points kijk op Black Hat dan lijkt het erop dat we weer wat naar elkaar toe kruipen. Het is inmiddels logisch (wat niet betekent dat het ook overal gebeurd) dat je als Developer je bezig houdt met security zoals het ook logisch is dat je als beheerder iets met development/scripting/automation doet (wat niet betekent…..). DevOps of DevSecOps is wat dat betreft achterhaald, je bent een IT-professional. Als Cybersecurity professional wil je aanvallen detecteren, voorkomen dat er binnengedrongen wordt, als dat dan toch gebeurt (assume breach) dan zo snel mogelijk (automatisch, gescript) de indringers opsluiten en natuurlijk herstellen en wellicht ook achterhalen waar de bad guys vandaan kwamen.

Ik zie dat terug in de producten en diensten van de verschillende leveranciers als Aramis, Snyk, Palo Alto, Darktrace, Qualys, Noname Security, Quitessence Lab, Crowdstrike, VMware, HP, IBM en Cisco (om er maar een paar te noemen en de reclamecodecommissie niet achter me aan te krijgen).

Weten wat je beveiligt, asset/configuration management dus, maar dan slimmer. Al die assets scannen op kwetsbaarheden en ze patchen of juist niet (het dagelijkse gebed van de CISO, nietwaar Dimitri?), automatische respone, AI-analyse van al je netwerkverkeer, XDR, testen etc, allemaal tools en oplossingen in de gereedschapskist van de IT Pro.

Organisatie

Maar hoe ga je dat nu organiseren, we hadden het een paar jaar geleden over de T- en P-shaped professional, maar dit wordt meer een schaap met 5 poten of een duizendpoot. Misschien toch het oude vertrouwde OSI-model er weer eens bij pakken en op basis daarvan teams verantwoordelijk maken, de SRE of Platform Engineer met daar bovenop Applicatieteams inrichten en wat betekent dit eigenlijk als we allemaal delen van onze infra hebben uitbesteed, moeten we dan vanuit een security perspectief wellicht toch weer meer zelf gaan doen, of gaan insourcen?

Er is geen eenduidig antwoord en het antwoord dat je als organisatie nu verzint is over een jaar weer achterhaalt. Wat wel nodig is, is dat je heel duidelijk de security rollen binnen jouw organisatie in kaart moet brengen en helder moet krijgen welke kennis en vaardigheden er nodig zijn om die rol in te kunnen vullen (blijvend). Tijd inruimen continu bij te leren is mijns inziens essentieel, genoeg organisaties hebben een grote “technical debt” waarbij het ontzettend lastig is om dat gat te dichten, hoe zit het met het technische gat in de skills van je medewerkers? Als dat te groot wordt, is het dan nog wel te dichten? Sorry, kom ik toch weer terug bij mijn stokpaardje.

Anyways, terug naar de tekentafel want Cybersecurity zet veel van die best practices van de afgelopen jaren weer op zijn kop, langdurige outsourcingscontracten zijn niet meer houdbaar en alle IT’ers (even generaliseren) komen kennis tekort en we komen IT’ers te kort. En dan heb ik het nog niet eens over de Risk en Governance professionals die erbij zijn gekomen, de privacy officers en ISO’s op allerlei niveaus, die zou ik graag mee willen nemen in deze uitdaging.

IT en Cybersecurity corebusiness

Een antwoord heb ik niet, maar het gaat in ieder geval helpen om zaken eenvoudiger te maken, het is te versnipperd en dus complex geworden. Wat zeker niet gaat helpen is om voor alle issues die we zien maar weer tooling aan te schaffen en die boven op elkaar te stapelen. Tooling betekent ook niet dat we minder kennis van zaken nodig hebben (a fool with a tool is still a fool). Dus terug naar die tekentafel, wat willen we als organisatie aan waarde leveren, wat is daarvoor nodig aan diensten en onderliggende applicaties en hoe kunnen we die veilig en betrouwbaar leveren?

Als IT en Security zo belangrijk is voor je business en je moet flexibel kunnen schakelen is het wellicht toch weer corebusiness geworden en dus niet iets dat je zomaar bij een andere partij kan beleggen.

Tot morgen en stay safe!

 

Neem contact op: Contact

[contact-form-7 404 "Niet gevonden"]